Oracle

Oracle OpenWorld 2015: Oracle incruste la sécurité dans son hardware

Le nouveau processeur M7 permet de chiffrer les données et de contrôler l’usage de la mémoire par les applications directement « dans le silicium ». Indispensable, d’après son CTO, pour sécuriser le Cloud. Le processeur prend également en charge certains traitements de bases de données pour accélérer les requêtes.

Larry Ellison, CTO et ex-PDG d’Oracle, a présenté la sécurité comme la plus grosses préoccupation à venir pour l’IT et particulièrement pour le Cloud. Pour lui, la sécurité doit en effet être prise en charge par les couches les plus basses possibles des systèmes et des plateformes.Sans quoi,  gagner la guerre contre les cyber-pirates s'annonce cause perdue.

Lors de l’Oracle OpenWorld 2015, Larry Ellison a entammé sa seconde intervention par ce constat. « Nous avons besoin d’une sécurité de nouvelle génération parce que là, nous ne sommes pas en train de gagner la cyber-bataille. La guerre n’est pas perdue. Mais c’est une confrontation technologique rude, parfois contre des organisations de type étatique ».

La règle de base de la sécurité : la positionner le plus bas possible dans la stack

Cette nouvelle génération d’outil serait d’autant plus impérieuse que « si nous transférons des quantités de données dans le cloud, nous devons nous assurer qu’il est effectivement sécurisé ».

Pour justifier la position préférentiel d’Oracle pour résoudre ce problème, son créateur n’a pas manqué de rappeler le nom de ses tous premiers clients : « la CIA, la NSA, le Département Américain de la Défense ».

Plus concrètement, Larry Ellison fait le diagnostic que la sécurité obéit à « des règles fondamentales » qui ne sont pas encore totalement mises en œuvre. « La sécurité incluse dans une base de données est plus pertinente qu’une sécurité incluse au niveau des applications. Et la sécurité devrait toujours être activée (NDT : always-on). Vous devriez toujours positionner la sécurité le plus bas possible dans votre stack, tout en bas, même en-dessous de l’OS, au niveau du hardware ».

Larry Ellison explicite sa pensée en précisant que dans esprit hardware signifie « silicium », autrement dit le processeur. « La dernière fois que j’ai vérifié, même les meilleurs hackers n’avaient pas réussi à télécharger et à appliquer des changements à un micro-processeur. Vous ne pouvez pas altérer le silicium ».

Quant à la sécurité activée par défaut et en permanence, deuxième pilier de sa stratégie, « la règle fondamentale du always-on signifie qu’il devrait être impossible de désactiver le chiffrement. La simple idée de pouvoir désactiver des fonctionnalités de sécurité est une aberration ».

Détection des intrusions au niveau du Sparc M7

La contribution d’Oracle dans ce mouvement prend aujourd'hui la forme d’une détection des intrusions intégrée directement au niveau de son nouveau processeur Sparc M7. Ce qu’Oracle appelle « Silicon Secured Memory ».

Le principe est de refuser à un programme l’accès à la mémoire attribuée à un autre programme. La technologie du M7 émettra une alerte en temps-réel si une telle tentative est détectée. « Vous saurez que votre système est attaqué et vous pourrez réagir », avance Larry Ellison.

Quant au chiffrement permanent il permet d’assurer une confidentialité totale. « Demander aux fournisseurs de SaaS s’ils peuvent accéder à vos données d’une manière ou d’une autre : nous, nous ne pouvons pas », se félicite-t-il.

Et de poursuivre, sur le même ton, « Vous nous verrez implémenter encore plus de fonction de sécurité dans le silicum. Vous nous verrez faire de plus en plus de puces. Nous sommes les seuls à faire cela »

Le silicium seul suffit-il ?

Interrogé par nos confrères anglais du réseau TechTarget (dont fait partie LeMagIT), l’annonce d’Oracle a été modérée par Iain Patterson, du Cabinet Office (rattaché au Premier Ministre Britannique).

« De ce que je vois, dans le monde d’Oracle, vous avez la sécurité qui est gérée de haut en bas dans la stack. Ce que je dirais moi, c’est que vous ne pouvez pas vous reposez sur vos lauriers parce que vous avez implémenté la sécurité au niveau le plus bas du hardware. Vous devez toujours surveiller vos applications et vérifier chaque point de la stack. Et ça, c’est de votre entière responsabilité. Vous ne pouvez pas vous reposez sur un fournisseur ou sur un tiers ».

« SQL in Silicon » aussi

Sparc M7 est le premier processeur d’Oracle depuis le rachat de Sun. Il s’appuie sur une puce 32 cœurs et 256 threads cadencé à 4.1 GHz.

En plus des fonctionnalités « Security in Silicon », le processeur embarque des fonctionnalités « SQL in Silicon » qui, comme son nom l’indique, permettent d’accélérer le traitement des bases de données (décompression, jointure, scan des indexes, tris et application de filtres aux données). Le fait de confier ces traitements aux co-processeurs diviserait les temps de réponse aux requêtes par dix. A condition, évidemment, que la base supporte cette fonctionnalité, ce qui est le cas – rappelle Oracle – de l’option In-Memory de la 12c.

Le nouveau système intégré (gamme « engineered system ») Oracle SuperCluster M7, et les nouveaux serveurs SPARC T7 et M7 sont les premières références catalogues à embarquer le processeur.

Avec nos confrères du réseau TechTarget

Pour approfondir sur Processeurs et composants